基于PKI数字签名技术在电子政务安全中的研究应用
课题研究内容与技术路线:
主要研究内容
主要通过以PKI技术为基础,应用密码和密码算法,以数据加密、数字签名等安全技术为基础,解决身份认证、信息传输安全等安全问题,在网络上使合法用户能够访问系统资源,拒绝非法用户访问系统资源,全面分析电子政务系统的整体框架需求,结合工作实际,深入剖析系专网的安全漏洞,研究以下几方面的内容:
1.了解公网和专网的安全威胁,分析和分析现有防御措施的基础上,研究虚拟的电子政务专用网络通道进行数据传输。
2.在公开密钥基础设施的基础上,学习相关加密技术,优化密钥管理、密钥分发的相关问题,以及数字证书的颁发流程,PKI信任模型的构建。
3.比较各种算法的优缺点、可行性,完成加密算法的选取。
4.消息发送身份确认和不可否认性研究;签名算法、密钥泄露或是签名者否认自己的签名行为,故意生成一个伪造签名等都无法保障信息完整性和合法性,数字时间戳技术的应用解决这些问题的关键内容。
5.用户访问权限的需求;采用基于角色的访问控制策略和数字证书技术,灵活地进行多层、分级的权限设定,从服务器级、数据库级、文档级和字段级进行访问控制。
技术路线
本系统将要发布的明文文档M通过hash算法生成信息摘要H(M),然后利用A的私钥对摘要信息进行加密,在此基础上生成数字签名,然后将明文和数字签名信息统一发送接收端,接收端首先用和A事先商量好的哈希算法计算收到的消息的摘要H(M)’,再用A的公钥解密A签名的消息值,对比两个计算结果,若一致,则签名有效。
因为只需对哈希值进行签名,速度有了很大提高。而根据哈希特性,不同消息很难产生相同的哈希值,因此确保对哈希值签名和对消息签名一样安全。同时,签名和源消息可以分开存储,接收者对源消息和哈希值的存储量要求大大降低。
2 使用可信时间戳也就是数字时间戳,遵循RFC3161和PKC#7两种时间戳协议,使电子文档具有当时系统的时间,可以保证文档的不可否认性。它是一个经加密后形成的凭证文档,包括三个部分:
(1)需加时间戳的文件的摘要
(2)服务器收到文件的日期和时间
(3)可信时间戳服务器的数字签名
具体过程为:用户首先将需要加时间戳的文件用hash算法编码加密形成摘要,然后将该摘要发送到可信时间戳服务器,该服务器收到了文件摘要的日期和时间后再对文件加密(数字签名),然后发送给用户。
课题研究难点、拟解决的技术关键和拟采用的方法与措施:
拟解决的关键问题
1.电子文公文在公网的传输过程中可能被截获,如何在公网和专网上设置物理形式隔离实现传输安全。
2.电子政务系统中涉及信息敏感程度不同,如何保证非法权限的访问、身份的冒充和信息的抵赖等。
3.在大量公文审批、流转等过程中,如何选取最优的传输加密算法,以减少存储和管理对硬件的要求、简化操作以提高运行速率。
4.在文本安全发送给接收方后,采取什么技术可以使该文件具有不可否认性。
关键技术
为解决可能出现的关键问题,拟采取的关键技术为:
1.采用SSL协议在公网上设置虚拟专用通道进行文档的传输。
2.利用混合加密技术实现原文机密性传输和提高运算效率。
3.XML签名方案实现公文传输的部分签名改善建模效率;RSA算法是非对称加密算法,确保公开信息的真实性、完整性。
4.运用可信性时间戳技术确保不可否认性,对时间戳签名可实现双重认验抵抗重放攻击和代换攻击,大大增强安全性。
方法与措施
1. 通过中间技术将数字签名技术电子政务系统中,使用SSL VPN通道在公网上建立专用网络进行传输,从而政务的机密性、安全性。
2.采用时间戳技术和加密算法的改进来确保电子政务的安全性,系统必须通过认证。
3.公钥密码体制中的椭圆曲线密码算法和XML的结合,保证安全可行性的同时算法优越性和签名的效率性。
预期成果:
1.提出电子行政管理机制的优化方向,提高政府管理和服务能力;设计基于开发平台、数据库和服务器进行开发的公文流转系统,完善政务办公系统。
2.在研究中,发表有关政务安全性与改进的中文期刊论文
